握有各式权限并经常会经手敏感资讯的资安从业人员,已成为最近几年骇客下手的主要目标,最近一波大规模攻击行动当中,有人借此对资安人员散布恶意软体,并窃得大批WordPress帐密。
值得留意的是,攻击者发起攻击的管道,主要可分成两种,一种针对资安研究人员而来,假借提供已知漏洞的概念性验证程式码,来让他们中招;另一种则是锁定学术研究机构,佯称提供处理器漏洞缓解工具来进行。
【攻击与威胁】
资安从业人员是骇客的主要目标之一,原因是他们通常会处理敏感资讯,并且掌握广泛的权限,这样的现象,最近几年传出攻击者会发布带有恶意内容的假漏洞利用程式码,借此引诱资安人员中招,如今类似的攻击行动再度传出。
云端监控服务业者Datadog旗下的资安实验室指出,骇客组织MUT-1244发动大规模的攻击行动,窃得超过39万组WordPress帐密资料,然后借由伪装成WordPress帐密检测工具的GitHub专案yawpp,利用其中的恶意程式码将资料传送给骇客,估计有数百名渗透测试人员、资安研究员受害,导致他们的SSH金钥、AWS金钥外流。
针对这些骇客接触攻击目标的手法,研究人员指出主要有两种管道,但目的相同,都是向受害者传递第二阶段的恶意酬载。
骇客锁定网页应用程式而来,打造Linux恶意程式的情况,已有资安业者提出警告,呼吁IT人员要严加防范,如今有研究人员发现,恶名昭彰的APT41很可能在1年前就开始制作这类恶意程式。
中国资安业者奇安信指出,他们今年4月底发现,代号为Winnti、Earth Baku、Brass Typhoon的中国骇客组织APT41,正在散播ELF形式的后门程式,由于骇客曾利用同一个IP位址散布恶意PHP档案init_task.txt,这样的情况引起了他们的注意。
由于攻击者透过各式元件组成的PHP木马程式,能够感染大量PHP档案,并能于受害主机植入l0ader_shell元件,研究人员将其命名为Glutton。根据init_task.txt出现的时间,研究人员推测此后门程式活动已超过1年。
随著国际之间执法单位的互助合作越来越频繁,有骇客看上这点,对政府官员散布恶意程式。资安业者Netskope揭露针对泰国政府官员的攻击行动,骇客企图于他们的电脑植入后门程式Yokai。
究竟骇客如何接触目标,研究人员表示并不清楚,但不排除是透过钓鱼邮件进行。他们透过威胁猎捕找到攻击者散播的RAR压缩档,当中包含两个Windows捷径档案(LNK),档名皆为泰文,其中一个佯装与美国司法部有关的PDF文件,另一个则是Word档案,宣称美国政府将在打击犯罪上行动进行国际合作。
一旦使用者点选LNK档,电脑就会将file.exf这个档案的备用资料流(Alternate Data Stream,ADS)内容,复制、传入作为诱饵的PDF或Word档案,过程中滥用一种叫做Esentuti的执行档,目的是透过ADS传输恶意酬载。
其他攻击与威胁
【资安防御措施】